Questo documento descrive come eseguire il deployment di Apache Guacamole su GKE e Cloud SQL.
Queste istruzioni sono rivolte agli amministratori e agli ingegneri di server che vogliono ospitare Guacamole su GKE e Cloud SQL. Il documento presuppone che tu abbia familiarità con il deployment di carichi di lavoro in Kubernetes e Cloud SQL per MySQL. Ti consigliamo inoltre di avere familiarità con Identity and Access Management e Google Compute Engine.
Architettura
Il seguente diagramma mostra come viene eseguito il bilanciamento del carico di Google Cloud configurato con IAP, per proteggere un'istanza in esecuzione su GKE:
Il client Guacamole si connette al servizio di backend guacd, che gestisce le connessioni da desktop remoto a una o più VM Compute Engine. Gli script eseguire il deployment di un'istanza Cloud SQL per gestire i dati di configurazione per Guacamole.
Per maggiori dettagli, consulta Apache Guacamole su GKE e Cloud SQL.
Obiettivi
- Eseguire il deployment dell'infrastruttura con Terraform.
- Creare un database Guacamole in Cloud SQL.
- Eseguire il deployment di Guacamole in un cluster GKE utilizzando Skaffold.
- Testa una connessione a una VM tramite Guacamole.
Costi
In questo documento utilizzi i seguenti componenti fatturabili di Google Cloud:
Per generare una stima dei costi basata sull'utilizzo previsto,
utilizza il Calcolatore prezzi.
Al termine delle attività descritte in questo documento, puoi evitare la fatturazione continua eliminando le risorse che hai creato. Per ulteriori informazioni, consulta la sezione Pulizia.
Prima di iniziare
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Resource Manager, Service Usage, Artifact Registry, and Compute Engine APIs.
-
In the Google Cloud console, activate Cloud Shell.
Esegui il deployment dell'infrastruttura
In questa sezione utilizzerai Terraform per eseguire il deployment delle seguenti risorse:
- Virtual Private Cloud
- Una regola firewall
- Un cluster GKE
- un repository Artifact Registry
- Cloud SQL per MySQL
- Una VM per la gestione del database MySQL
- Account di servizio
La configurazione Terraform abilita inoltre l'uso di IAP nel tuo progetto.
In Cloud Shell, clona il repository GitHub:
git clone https://github.com/GoogleCloudPlatform/guacamole-on-gcp.git
Esegui il deployment dell'infrastruttura richiesta utilizzando Terraform:
cd guacamole-on-gcp/tf-infra unset GOOGLE_CLOUD_QUOTA_PROJECT terraform init -upgrade terraform apply
Segui le istruzioni per inserire l'ID progetto Google Cloud.
Per approvare la richiesta di Terraform di eseguire il deployment delle risorse nel tuo progetto, inserisci
yes
.Il deployment di tutte le risorse richiede diversi minuti.
esegui il deployment del database Guacamole
In questa sezione creerai il database e le tabelle Guacamole Cloud SQL per MySQL e compila il database con l'utente amministratore informazioni.
In Cloud Shell, imposta le variabili di ambiente e trova la password di root del database:
cd .. source bin/read-tf-output.sh
Prendi nota della password root del database, che ti servirà nei passaggi seguenti.
Lo script legge le variabili di output dall'esecuzione di Terraform e imposta la classe le seguenti variabili di ambiente, utilizzate in questa procedura:
CLOUD_SQL_INSTANCE ZONE REGION DB_MGMT_VM PROJECT_ID GKE_CLUSTER GUACAMOLE_URL SUBNET
Copia i file di script
create-schema.sql
einsert-admin-user.sql
alla VM di gestione dei database e poi connettiti alla VM:gcloud compute scp \ --tunnel-through-iap \ --zone=$ZONE \ create-schema.sql \ insert-admin-user.sql \ $DB_MGMT_VM: gcloud compute ssh $DB_MGMT_VM \ --zone=$ZONE \ --tunnel-through-iap
Ora è stata stabilita una sessione della console con la VM di gestione del database tramite Cloud Shell.
Installa gli strumenti del client MySQL:
sudo apt-get update sudo apt-get install -y mariadb-client
Connettiti a Cloud SQL e crea il database. Quando richiesto per la password, usa la password root che hai annotato in precedenza in questa sezione.
export CLOUD_SQL_PRIVATE_IP=$(curl http://metadata.google.internal/computeMetadata/v1/instance/attributes/cloud_sql_ip -H "Metadata-Flavor: Google") mysql -h $CLOUD_SQL_PRIVATE_IP -u root -p
Concedi le autorizzazioni utente al database sul database appena creato:
CREATE DATABASE guacamole; USE guacamole; GRANT SELECT,INSERT,UPDATE,DELETE ON guacamole.* TO 'guac-db-user'; FLUSH PRIVILEGES; SOURCE create-schema.sql; SOURCE insert-admin-user.sql; quit
Al termine dell'esecuzione dei comandi MySQL, esci dalla sessione SSH della VM:
exit
Esegui il deployment di Guacamole in GKE utilizzando Skaffold
In questa sezione eseguirai il deployment dell'applicazione Guacamole al cluster GKE, utilizzando Skaffold. Skaffold gestisce il flusso di lavoro per la compilazione, l'invio e il deployment delle immagini Guacamole nei cluster GKE.
In Cloud Shell, esegui il deployment della configurazione GKE utilizzando Terraform:
cd tf-k8s terraform init -upgrade terraform apply -parallelism=1
Ottieni le credenziali per il cluster GKE:
gcloud container clusters get-credentials \ --region $REGION $GKE_CLUSTER
Esegui Skaffold dalla radice del repository Git clonato:
cd .. skaffold --default-repo $REGION-docker.pkg.dev/$PROJECT_ID/guac-repo run
Lo strumento Skaffold crea immagini container per Guacamole tramite Google Cloud Build (la riga di comando include un flag che specifica il repository in cui eseguire il push delle immagini). Lo strumento esegue anche un passaggio kustomize per generare ConfigMap e secret Kubernetes in base all'output dell'esecuzione di Terraform.
Verifica che sia stato eseguito il provisioning del certificato:
kubectl get -w managedcertificates/guacamole-client-cert \ -n guacamole \ -o jsonpath="{.spec.domains[0]} is {.status.domainStatus[0].status}"
Il provisioning del certificato può richiedere fino a 60 minuti.
Una volta eseguito il provisioning del certificato, puoi visitare il tuo URL in un browser.
Visualizza l'URL dall'output Terraform:
echo $GUACAMOLE_URL
In una finestra del browser, inserisci l'URL che hai ottenuto nel passaggio precedente.
Quando IAP ti chiede, accedi con il tuo e credenziali.
Dopo aver eseguito l'accesso, avrai eseguito l'accesso a Guacamole con il ruolo privilegiati, in base allo script
insert-admin-user.sql
che hai eseguito in precedenza in questa procedura.
Ora puoi aggiungere altri utenti in base al loro indirizzo email tramite l'interfaccia utente di Guacamole. Per maggiori dettagli, consulta la sezione Amministrazione nella documentazione di Guacamole.
Questi utenti aggiuntivi richiedono anche autorizzazioni tramite Google IAM, con il ruolo IAP-secured Web App User
.
Testare una connessione a una VM
Dopo aver eseguito il deployment, configurato e eseguito l'accesso a Guacamole, puoi creare una VM Windows e connetterti alla VM appena creata tramite Guacamole.
Crea una VM
In Cloud Shell, crea una VM Windows per testare le connessioni per:
export TEST_VM=windows-vm gcloud compute instances create $TEST_VM \ --project=$PROJECT_ID \ --zone=$ZONE \ --machine-type=n1-standard-1 \ --subnet=$SUBNET \ --no-address \ --image-family=windows-2019 \ --image-project=windows-cloud \ --boot-disk-size=50GB \ --boot-disk-type=pd-standard \ —-shielded-secure-boot
Dopo aver eseguito il comando, potrebbe essere necessario attendere qualche minuto prima che Windows completa l'inizializzazione, prima di procedere con il passaggio successivo.
Reimposta la password di Windows per la VM appena creata:
gcloud compute reset-windows-password $TEST_VM \ --user=admin \ --zone=$ZONE
Aggiungi una nuova connessione alla VM
- In una finestra del browser, inserisci l'URL dell'istanza Guacamole da Esegui il deployment di Guacamole in GKE utilizzando Skaffold e poi accedi tramite IAP.
- Nell'interfaccia utente di Guacamole, fai clic sul tuo nome utente e poi su Impostazioni.
- Nella scheda Connessioni, fai clic su Nuova connessione.
- Nel campo Nome, inserisci un nome per la connessione.
- Nel campo Posizione, inserisci la posizione della connessione.
- Nell'elenco a discesa Protocollo, seleziona RDP.
In Network (Rete), nel campo Hostname (Nome host), inserisci il nome della VM che hai creato,
windows-vm
.Il DNS del progetto risolve questo nome host all'indirizzo IP interno dell'istanza.
Nella sezione Autenticazione, imposta i seguenti campi:
- Nome utente:
admin
- Password: la password che hai ricevuto quando hai reimpostato la password per la VM
- Modalità di sicurezza:
NLA
(autenticazione a livello di rete) Ignora certificato server: seleziona la casella di controllo.
Il provisioning delle VM Windows di Compute Engine viene eseguito con un certificato autofirmato per i servizi Remote Desktop, pertanto devi indicare a Guacamole di ignorare i problemi di convalida del certificato.
- Nome utente:
Fai clic su Salva.
Fai clic sul tuo nome utente e seleziona Home.
Fai clic sulla connessione appena creata per verificare la connettività. Dopo alcuni secondi, dovresti vedere il desktop dell'istanza VM.
Per maggiori dettagli sulla configurazione di Guacamole, consulta Manuale di Apache Guacamole.
Esegui la pulizia
Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate. In questa procedura, elimina il progetto che contiene le risorse oppure mantieni il progetto ed eliminare le singole risorse.
Elimina il progetto
- In the Google Cloud console, go to the Manage resources page.
- In the project list, select the project that you want to delete, and then click Delete.
- In the dialog, type the project ID, and then click Shut down to delete the project.
Elimina le nuove risorse
In alternativa a eliminare l'intero progetto, puoi eliminare il singolo a risorse create durante questa procedura. La schermata per il consenso OAuth configurazione non può essere rimossa da un progetto, ma solo modificata.
In Cloud Shell, utilizza Terraform per eliminare le risorse:
cd ~/guacamole-on-gcp/tf-k8s terraform destroy cd ~/guacamole-on-gcp/tf-infra terraform destroy gcloud compute instances delete $TEST_VM –-zone=$ZONE
Passaggi successivi
- Rivedi le indicazioni di GKE su Rafforzamento della sicurezza del cluster.
- Rivedi Crittografia dei secret a livello di applicazione per imparare a potenziare la sicurezza dei secret, come le credenziali dei database Credenziali OAuth.
- Rivedi Condizioni IAM per scoprire come offrire un controllo più granulare sull'accesso degli utenti a Guacamole.
- Scopri di più sul funzionamento dell'integrazione IAP esaminando il fornitore di autenticazione personalizzato nel repository GitHub.
- Per altre architetture di riferimento, diagrammi e best practice, visita il Centro architetture di Google Cloud.